asp.net中防止Sql注入的方法- 转

最新推荐文章于 2024-01-17 10:03:04 发布
最新推荐文章于 2024-01-17 10:03:04 发布
阅读量206 收藏
点赞数
分类专栏: Asp.net 文章标签: asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_9643/article/details/82434442
版权
转自[url]http://wenku.baidu.com/view/e9a489240722192e4536f6b2.html[/url]
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。

本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,这样不检查某些字段也是可以实现的。

直接贴代码:


Global.ascx.cs

//在接收到一个应用程序请求时触发。对于一个请求来说,它是第一个被触发的事件,请求一般是用户输入的一个页面请求(URL)。
void Application_BeginRequest(object sender, EventArgs e)
{
//Response.Write("通用注入检查");
bool result = false;

if (Request.RequestType.ToUpper() == "POST")
{
result = SQLInjectionHelper.ValidUrlPostData();//Post数据检查
}
else
{
result = SQLInjectionHelper.ValidUrlGetData();//Get数据检查
}

if (result)
{
Response.Write("您提交的数据有恶意字符!");
Response.Write("<script>alert('您提交的数据有恶意字符!');<//script>");
Response.End();
}
}

SQLInjectionHelper.cs注入检测辅助类



/// <summary>
/// 获取Post的数据
/// </summary>
public static bool ValidUrlPostData()
{
bool result = false;

for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)
{
result = ValidData(HttpContext.Current.Request.Form[i].ToString());
if (result)
{
break;
}//如果检测存在漏洞
}
return result;
}

/// <summary>
/// 获取QueryString中的数据
/// </summary>
public static bool ValidUrlGetData()
{
bool result = false;

for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)
{
result = ValidData(HttpContext.Current.Request.QueryString[i].ToString());
if (result)
{
break;
}//如果检测存在漏洞
}
return result;
}

/// <summary>
/// 验证是否存在注入代码
/// </summary>
/// <param name="inputData"></param>
public static bool ValidData(string inputData)
{
//里面定义恶意字符集合
//验证inputData是否包含恶意集合
if (Regex.IsMatch(inputData, GetRegexString()))
{
return true;
}
else
{
return false;
}
}

/// <summary>
/// 获取正则表达式
/// </summary>
/// <param name="queryConditions"></param>
/// <returns></returns>
private static string GetRegexString()
{
//构造SQL的注入关键字符
string[] strBadChar = {"and"
,"exec"
,"insert"
,"select"
,"delete"
,"update"
,"count"
,"from"
,"drop"
,"asc"
,"char"
,"or"
//,"*"
,"%"
,";"
,":"
,"\'"
,"\""
,"-"
,"chr"
,"mid"
,"master"
,"truncate"
,"char"
,"declare"
,"SiteName"
,"net user"
,"xp_cmdshell"
,"/add"
,"exec master.dbo.xp_cmdshell"
,"net localgroup administrators"};

//构造正则表达式
string str_Regex = ".*(";
for (int i = 0; i < strBadChar.Length - 1; i++)
{
str_Regex += strBadChar[i] + "|";
}
str_Regex += strBadChar[strBadChar.Length - 1] + ").*";

return str_Regex;
}
iteye_9643
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
ASP.NET防止SQL注入方法示例
01-20
本文实例讲述了ASP.NET防止SQL注入方法。分享给大家供大家参考,具体如下: 最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。...
SQL注入
liaoxiaohua1981的专栏
07-18 645
asp.netSQL注入一:一个方法        ///         ///SQL注入过滤        ///         /// 要过滤的字符串        /// 如果参数存在不安全字符,则返回true        public static bool SqlFilter2(string InText)        {            string word =
(论坛答疑点滴)有关sql注入
03-12 1421
http://community.csdn.net/Expert/topic/3803/3803170.xml?temp=.6236078大家存在5点误区:1、sql注入比较难防,需要替换select,delete等一打字符其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型换。2、忽略DropDownList传来的东西其实是不对的,一切客户端的东西都
ASP.NET网站防止SQL注入攻击
iamsyu的专栏
12-29 964
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序提供表单
asp.net 防止 sql注入
weixin_30699463的博客
08-03 131
自:http://hi.baidu.com/liulin0712/blog/item/37ad9118b70e860e35fa41d3.html大家存在5点误区: 1、sql注入比较难防,需要替换select,delete等一打字符 其实对于字符型替换再多都没有替换单引号为两个单引号来的好!对于数字型替换再多都没有用,一定要类型换。 2、忽略DropDownList传来的东西 其实是不对的...
ASP.NET防范SQL注入式攻击的方法
01-02
在某些表单,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:   ⑴ 某个ASP.NET Web应用有一个登录页面,这...
asp.net 防止SQL注入攻击
10-29
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入
ASP.NET编程知识】ASP.NET防止SQL注入方法示例.docx
05-20
ASP.NET 防止 SQL 注入攻击的方法有很多,这些方法包括参数法防注入、传统的笨一点的办法、HttpModule 实现防sql注入SqlFilter 防止 SQL 注入、validation 防止 SQL 注入等。只有通过使用这些方法,才能有效地防止...
曾经参加某公司的一道面试题--ASP.NET如何防范SQL注入式攻击
世上无难事,只怕有心人
06-16 2796
在网上找到的资料如下:一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登
asp.net(C#)防sql注入组件的实现代码
10-29
经常要写一些.net的程序,对于数据库的防注入要求要比较高。这时我从网上搜了一些代码。查看了一下主要是通过HTTPModel来进行对客户端过来的数据进行处理。
.net 防SQL注入实用代码案例
09-26
防止SQL注入主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)防止掉一些特殊字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用16进制编码。
asp.net简单防范sql注入漏洞
10-24
asp.net简单防范sql注入漏洞 防止 sql注入攻击 1 限制 文本框的最大长度 2 删除用户的单引号 3 处理sql注入的另外一个方法是 使用ado.net command对象的参数集合。 而不是评接多个字符串
简单的asp.net登陆有一定的sql注入功能
07-16
简单的asp.net登陆sql注入功能是由一个if语句实现
c# 全站防止sql注入
06-24
c# 全站防止sql注入,利用Global.asax、Appcode添加类的方法
ASP.NET如何防范SQL注入式攻击
老樊的博客
07-02 323
一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 ⑵ 登录页面输入的内容将直接用来构造动态的SQL命令,或者直接用作存
asp.net request防sql注入_安全漏洞大揭秘:手把手教你轻松防止SQL注入
weixin_39906878的博客
11-16 587
安全漏洞大揭秘:手把手教你轻松防止SQL注入SQL(结构化查询语言)注入是众所周知的软件弱点和安全漏洞,如果不是的话,也是最出名的漏洞之一。尽管享有盛名,但如何防止SQL注入仍然是主要漏洞之一,并且攻击持续增长。查找SQL注入根据OWASP Top 10,注入漏洞(其SQL注入是其一种)是Web应用程序安全性的头号问题。SQL注入在CWE Top 25排名第六。其他类型的安全漏洞示例包括:...
.Net 全局过滤,防止SQL注入
灵感源于学习的博客
01-17 970
防止SQL 注入、漏洞修复
asp.net sql带单引号
最新发布
01-20
ASP.NET,当我们需要在SQL语句使用单引号时,需要注意对单引号进行义,以避免出现语法错误或SQL注入的安全问题。在ASP.NET,可以通过双单引号来表示一个单引号,也可以使用参数化查询的方式来避免直接拼接...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值